配置规则 ============ 配置规则是指当匹配成功时,会改变Suricata针对某个流、事务、数据包或其他单元的配置的规则。 示例:: config dns any any -> any any (dns.query; content:"suricata"; config: logging disable, type tx, scope tx; sid:1;) 这个示例会检测DNS查询是否包含字符串 `suricata` ,如果包含则禁用该DNS事务的日志记录。这意味着对于这个DNS事务,将不会生成/触发 `eve.json` 记录以及Lua输出。 示例:: config tcp:pre_flow any any <> any 666 (config: tracking disable, type flow, scope packet; sid:1;) 这个示例会跳过任何来自或去往TCP端口666的数据包的流追踪。 关键字 ------- `config` 规则关键字提供了配置变更的设置及其作用范围。 语法:: config:<子系统> <动作>, type <类型>, scope <作用域>; `子系统` 可以设置为: * `logging` 设置影响日志记录。 * `tracking` 设置影响追踪。 `类型` 可以设置为: * `tx` 子系统的子类型。如果 `子系统` 设置为 `logging` ,将 `类型` 设置为 `tx` 表示影响事务日志记录。 * `flow` 子系统的子类型。如果 `子系统` 设置为 `flow` ,将 `类型` 设置为 `flow` 表示禁用流追踪。 `作用域` 可以设置为: * `tx` 设置影响匹配的事务。 * `packet` 设置影响匹配的数据包。 当前 `<子系统>` 中的 `动作` 仅限于 `disable` 。 动作 ------ 配置规则可以使用 `config` 规则动作,但不是必须的。当规则匹配时, `config` 规则动作不会生成警报,但规则动作仍会生效。这等同于 `alert ... (noalert; ...)` 。